一、 漏洞 CVE-2022-4556 基础信息
漏洞信息
                                        # Alinto SOGo身份 SOGoUserDefaults.m _migrateMailIdentities跨站脚本漏洞

## 漏洞概述
Alinto SOGo 5.7.1及以下版本中发现了一个漏洞,该漏洞被分类为具有潜在威胁。该漏洞是由于`SoObjects/SOGo/SOGoUserDefaults.m`文件中的`_migrateMailIdentities`函数处理`fullName`参数不当导致的,从而引发跨站脚本(XSS)攻击。此漏洞可通过远程攻击进行利用。

## 影响版本
- Alinto SOGo 5.7.1及以下版本

## 漏洞细节
- **受影响组件**:Identity Handler
- **受影响函数**:`_migrateMailIdentities`
- **漏洞类型**:跨站脚本(XSS)
- **利用方式**:远程攻击
- **修复版本**:5.8.0
- **补丁名称**:efac49ae91a4a325df9931e78e543f7070f8e5e

## 漏洞影响
此漏洞可能导致攻击者通过操纵`fullName`参数在用户端执行恶意脚本,从而可能导致信息泄露或其他攻击。建议用户升级到不受影响的版本以避免潜在的攻击。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Alinto SOGo Identity SOGoUserDefaults.m _migrateMailIdentities cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in Alinto SOGo up to 5.7.1 and classified as problematic. Affected by this issue is the function _migrateMailIdentities of the file SoObjects/SOGo/SOGoUserDefaults.m of the component Identity Handler. The manipulation of the argument fullName leads to cross site scripting. The attack may be launched remotely. Upgrading to version 5.8.0 is able to address this issue. The name of the patch is efac49ae91a4a325df9931e78e543f707a0f8e5e. It is recommended to upgrade the affected component. The identifier of this vulnerability is VDB-215960.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对消息或数据结构的处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
SOGo 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SOGo是一个非常快速且可扩展的现代协作套件。它提供日历、地址簿管理和功能齐全的 Webmail 客户端以及资源共享和权限处理。 SOGo 5.7.1及以前版本存在安全漏洞,该漏洞源于其Identity Handler组件的SoObjects/SOGo/SOGoUserDefaults.m文件中的_migrateMailIdentities函数对参数fullName的操作允许攻击者实现跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-4556 的公开POC
# POC 描述 源链接 神龙链接
1 📄Official disclosure of CVE-2022-4556 — Stored Cross-Site Scripting (XSS) vulnerability in SOGo Webmail v5.7.1, discovered by Ashkan Rafiee and Mostafa Abbasi. Includes full writeup and reproduction steps. https://github.com/AshkanRafiee/CVE-2022-4556 POC详情
三、漏洞 CVE-2022-4556 的情报信息
四、漏洞 CVE-2022-4556 的评论

暂无评论

发表评论